Identity Management übernimmt Berechtigungssteuerung

Rollenmodell erhöht die Flexibilität

Seite: 2/2

Firmen zum Thema

Rollenbasierende Berechtigungsvergabe

Es entstand ein Projekt, das mit einigen großen Herausforderungen verbunden war. Eine davon lag im Aufbau der regel- beziehungsweise rollenbasierenden Berechtigungsverwaltung und in der Provisionierung der verschiedenen Ausprägungen/Domänen jeweils gleicher Zielsysteme, wie beispielsweise die unterschiedlichen Domänen von Lotus Notes und des eingesetzten Workplace-Management-Systems. So musste im Falle einer Versetzung eines Mitarbeiters der Umzug des User Accounts zwischen den verschiedenen Zielsystem-Domänen durch die IdM-Lösung unterstützt und hinsichtlich der Berechtigungszuordnung automatisiert werden.

Um künftig flexibler auf organisatorische Veränderungen reagieren zu können, sollte die Berechtigungsvergabe durch den Einsatz eines Rollenmodells erfolgen. Ein klassisches Rollenmodell sieht dabei die Definition von Rollen vor, die die Funktionen, Aufgabenfelder und organisatorischen Zuordnungen eines Unternehmens repräsentieren, und die den Mitarbeitern zugewiesen werden können. Diese Rollen sind dann wiederum implizit mit Berechtigungen der Zielsysteme DX-Union, Lotus Notes und SAP ECC UM verbunden. Die Rollenzuordnung sorgt dafür, dass der entsprechende Mitarbeiter einen Systemzugang sowie die notwendigen Berechtigungen innerhalb der betreffenden Zielsysteme bekommt.

Bildergalerie

Der Rollenentzug hingegen sorgt für die Sperrung oder das Löschen des Systemzugangs, wenn dieser beispielsweise das Unternehmen verlässt. Idealerweise wird das Identity Management System (IdM-System) als führendes System für die Berechtigungsvergabe eingesetzt, das heißt, dass nur das IdM-System Berechtigungen innerhalb der Zielsysteme zuordnen kann.

Im Gegensatz zur Nutzung eines klassischen Rollenmodells kann ein IdM-System jedoch auch in einer sehr abgeschwächten Form eingesetzt werden, die ohne ein solches Rollenmodell auskommt und ausschließlich zur Erzeugung von Systemzugängen genutzt wird. Die Berechtigungen müssen dann nach der Generierung eines Systemzugangs durch die Administratoren in den betreffenden Zielsystemen vergeben werden. Und genau zwischen diesen beiden Ansätzen, galt es für die Experten der ZRWest eine Lösung für die Rentenversicherungsträger zu finden.

Lösungsansätze

Die Berechtigungsvergabe für Mitarbeiter ist bei den Kunden der ZRWest-GmbH von mehreren Faktoren abhängig. So bestimmen das Anstellungsverhältnis (interner oder externer Mitarbeiter), die Betriebs- oder Bereichszugehörigkeit und die Zugehörigkeit zu einer Abteilung oder einem Betriebsteil die Berechtigungen eines Mitarbeiters. Darüber hinaus können einem Mitarbeiter noch spezielle Funktionen und Berechtigungen in IT-Systemen zugeordnet werden, wenn er diese für seine tägliche Arbeit benötigt.

Aufgrund dieser Komplexität sollte ein pragmatischer Weg gefunden werden, den Einsatz von Rollen im Kontext der IdM-Architektur optimal zu nutzen. Nach einer eingehenden Analysephase entschied sich der IT-Dienstleister schließlich für eine Provisionierung der User Accounts und die Vergabe von Basisgruppenrechten. Dieser Ansatz sieht das Anlegen von User Accounts und die Vergabe von einer Menge von Basis-Berechtigungen anhand der Basisrollen vor. Der Entzug der Rolle führt zur Sperrung oder Löschung des entsprechenden Accounts.

Zwar ist auch bei diesem Ansatz eine ergänzende Berechtigungszuordnung eines User Accounts durch die Systemadministratoren der einzelnen Zielsysteme möglich, allerdings können die Basisberechtigungen weder verändert noch gelöscht werden. Somit ist gewährleistet, dass die Berechtigungen, die über das IdM-System zugeordnet wurden, als verbindliche Berechtigungszuordnungen durchgesetzt werden. Diese Art der Provisionierung ist äußerst wichtig, wenn wie im Falle von Lotus Notes mit Sperrgruppen gearbeitet wird, da diese Sperrgruppen keinesfalls seitens der Zielsystemadministration entfernt werden dürfen.

Vorteilhaft gegenüber anderen Ansätzen erfolgt die Optimierung der Administrationsprozesse dadurch, dass die Zuordnung der Basisrollen für eine verbindliche Zuordnung von Gruppenrechten sorgt. Die Zielsystem-Administratoren werden damit erheblich entlastet, behalten aber trotzdem die Flexibilität, um den User Accounts zusätzliche Gruppenrechte direkt im Zielsystem zuzuordnen. Doch es gibt auch Nachteile. So erlauben die im IdM-System zugeordneten Basisrollen beispielsweise nur eine eingeschränkte Aussage über die Gesamtmenge der zugeordneten Berechtigungen.

Artikelfiles und Artikellinks

(ID:2014762)